- Samsung Galaxy S22 Ultra - na, kinél van toll?
- Elkészült és telepíthető az Android 16
- Apple Watch Sport - ez is csak egy okosóra
- iPhone topik
- MIUI / HyperOS topik
- One mobilszolgáltatások
- Egy szenzor, két zoomkamera: újraírta a Huawei a mobilfotózás történetét
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Google Pixel topik
- Samsung Galaxy S21 FE 5G - utóirat
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#5400
ekkold
Topikgazda
Cirbolya_sen
#5399
ekkold
Topikgazda
válasz
Cirbolya_sen
#5399
üzenetére
Akkor is ez szokott a logban szerepelni, ha a tápot kihúzom vagy ha a hálózat megy el.
-
#5398
Shkiz0
nagyúr
Cirbolya_sen
#5397
válasz
Cirbolya_sen
#5397
üzenetére
Logba mi van?
-
#5396
Shkiz0
nagyúr
Cirbolya_sen
#5395
válasz
Cirbolya_sen
#5395
üzenetére
Ezt a quick set dolgot felejtsd el.
Reseteld le, es allits be mindent kezzel.
Ha ugy is rossz akkor mehet esetleg gariba. -
#5394
Ablakos
őstag
Cirbolya_sen
#5390
Ablakos
őstag
válasz
Cirbolya_sen
#5390
üzenetére
CPU frekvencia nem lett tekergetve?
-
#5393
Cirbolya_sen
aktív tag
Shkiz0
#5391
-
#5392
pn4hvq
senior tag
Cirbolya_sen
#5390
pn4hvq
senior tag
válasz
Cirbolya_sen
#5390
üzenetére
Nekem VM-ben futó routernél akkor volt random újraindulgatás, amikor tesztjelleggel a logokat memóriába irányítottam (és természetesen elfeledkeztem róla) és elfogyott a memória.
-
#5391
Shkiz0
nagyúr
Cirbolya_sen
#5390
válasz
Cirbolya_sen
#5390
üzenetére
Milyen tappal hasznalod?
-
#5390
Cirbolya_sen
aktív tag
Cirbolya_sen
#5389
Cirbolya_sen
aktív tag
válasz
Cirbolya_sen
#5389
üzenetére
éjjel megint egyszer újra indult, mintha terhelés függő lenne, mert napközben nem bírt 1 óránál többet.
Lehúzom a wan-ról, megnézem így mit csinál. -
#5389
Cirbolya_sen
aktív tag
Cirbolya_sen
aktív tag
javítva:
[admin@MikroTik] > sys rou print
routerboard: yes
model: RB450Gx4
serial-number: 8D8808904446
firmware-type: ipq4000
factory-firmware: 6.42
current-firmware: 6.42.6
upgrade-firmware: 6.42.6jöhet a teszt megint
-
#5388
Cirbolya_sen
aktív tag
Core2duo6600
#5387
Cirbolya_sen
aktív tag
válasz
Core2duo6600
#5387
üzenetére
ezek szerint nem:
[admin@MikroTik] > sys ro print
routerboard: yes
model: RB450Gx4
serial-number: 8D8808904446
firmware-type: ipq4000
factory-firmware: 6.42
current-firmware: 6.42
upgrade-firmware: 6.42.6hmmm, nem is tudtam, hogy külön van, megint tanultam valamit
-
#5387
Core2duo6600
veterán
Cirbolya_sen
#5384
Core2duo6600
veterán
válasz
Cirbolya_sen
#5384
üzenetére
Csakegy 5let, lehet semmi köze hozzá, miután feltetted az aktuális routeros-t a firmware-t is frissítetted ?
-
#5385
ekkold
Topikgazda
Cirbolya_sen
#5384
ekkold
Topikgazda
válasz
Cirbolya_sen
#5384
üzenetére
Az, hogy az időt elveszti a kisebb gáz, majd szinkronizál az időszerverrel, az a nagyobb gond ha újraindulgat. Lehet hogy valami hardver hibája van. Esetleg próbáld netinstallal újra rátolni a legutolsó RouterOS-t, az újraformázza a háttértárat is. Ha azután is újraindulgat akkor gari... vagy ha tart még az elállási jog határideje, akkor...
Amúgy most kíváncsiságból megnéztem mennyi uptime-t mutatnak mikrotik cuccaim. 3 eszköz van itthon
hAPac2: 12nap, RG951G-2hnd: 16nap, hAPac: 29nap -
#5384
Cirbolya_sen
aktív tag
ekkold
#5383
-
#5383
ekkold
Topikgazda
Cirbolya_sen
#5382
ekkold
Topikgazda
válasz
Cirbolya_sen
#5382
üzenetére
Ja még valami: az időzónát se hagyd automatikusan, állítsd be magyarországra.
/system clock set time-zone-name=Europe/BudapestItt pedig legyen kikapcsolva, mert ez nem pontos:
/ip cloud set ddns-enabled=yes update-time=noA downgrade-t se erőltesd szerintem, inkább az újabbat tedd rá, ha majd kiadják a 6.43 verziót.
-
#5382
Cirbolya_sen
aktív tag
Cirbolya_sen
#5381
Cirbolya_sen
aktív tag
válasz
Cirbolya_sen
#5381
üzenetére
Másik konnektor, ahogy vártam, nem oldotta meg a problémát, az újraindulás után az idő szinkron előtt, most fél órával van elcsúszva. Jöhet a reset.
-
#5381
Cirbolya_sen
aktív tag
ekkold
#5380
Cirbolya_sen
aktív tag
Igen, az idő szervert már beállítottam a kfki-ra, ez nagyon szúrta a szemem
Nincs mit tenni, megyek lépésenként.
Most szünetmentesbe dugtam bele, nehogy a villany szórakozzon velem /igaz pontosan ezen a helyen már több router remekül működött/
A következő lépés a reset és a varázsló kihagyása, kénytelen voltam a "quick set"-et is kipróbálni, képbe akartam jönni a Digi1000-hez mennyire kezesbárány a kicsit hozzáértőbb felhasználóknak.
Ha ez sem segít jön a downgrade, ha még így sem, akkor már a többire kevés a jelenlegi mikrotik tudásom.
-
#5380
ekkold
Topikgazda
Cirbolya_sen
#5379
ekkold
Topikgazda
válasz
Cirbolya_sen
#5379
üzenetére
Hát szerintem azt a "quick set" dolgot hanyagold inkább. Én mindíg azzal kezdem, hogy reset config, és no default config, azaz teljesen a nulláról állítom be. A quick set gyakran változik egy-egy új verzióval, és macerásabb utána nézni, hogy pontosan mit is csinál. Az idő/dátum furcsaságokat az is okozhatja, ha az IP CLOUD menüben engedélyezed az időbeállítást, és ntp szervert is megadsz az idő beállításához. Valahogy az előbbi nem mindig működik jól, éerdemes inkább időszerverhez szinkronizálni (pl. time.kfki.hu, time.windows.com)
-
#5379
Cirbolya_sen
aktív tag
Core2duo6600
#5378
Cirbolya_sen
aktív tag
válasz
Core2duo6600
#5378
üzenetére
Ehh, csak nem húztam bele egy rosszba? Milyen lap, és milyen beállítások futnak rajta? Melyik RouterOS?
A korábbi logokat alapból lementi valahova, vagy be kell rajta állítani?
/ennyire mélyen nem vagyok benne a Mikrotikben
/ -
#5378
Core2duo6600
veterán
Cirbolya_sen
#5377
Core2duo6600
veterán
válasz
Cirbolya_sen
#5377
üzenetére
Nálam eddig még minden rendben !
-
#5377
Cirbolya_sen
aktív tag
Cirbolya_sen
aktív tag
Folytatódik a kavar, csupasz varázslós beállításokkal is rosszalkodik, egyszer csak elmegy a LAN kapcsolat, se az ip-re, se a MAC cím-re, nem válaszol a WinBox-nak, és a ping sem megy.
Tapasztalt valaki hasonlót a 6.42.6 RouterOS-nél?
-
#5376
Cirbolya_sen
aktív tag
Shkiz0
#5375
Cirbolya_sen
aktív tag
Ezen gyárilag a 6.42 volt, ez frissült 6.42.6-ra, az alap konfigba eddig nem sikerült belegyógyítani a digi ipv6-ot tesztelésre, de biztosan én kavarok el valamit. Indulok a kályhától, az a legbiztosabb.
A másik őrülete, hogy működés közben dátumot váltott, 2018.08.09-ből átment 2016.08.01-be.
-
#5375
Shkiz0
nagyúr
Cirbolya_sen
#5374
válasz
Cirbolya_sen
#5374
üzenetére
6.41 talán.
-
#5374
Cirbolya_sen
aktív tag
Cirbolya_sen
aktív tag
Mióta része az alapkonfignak az offload? Most szembesültem vele a RB450Gx4-nél.
A másik érdekes, hogy az alapkonfigot állítgatva nagyon instabil lett és újra indulgat. Jók ezek a varázslók, nahhh -
#5373
Shkiz0
nagyúr
Core2duo6600
#5372
válasz
Core2duo6600
#5372
üzenetére
Megy a 3011-en (itt is írták már, igaz nem izomból), mivel külföldi oldalon már találkoztam képpel, és méréssel Ahx2 esetén is, FT-el az is tudja a gigát, pedig az csak 2x1066 MHz.
-
#5370
ekkold
Topikgazda
Core2duo6600
#5369
ekkold
Topikgazda
válasz
Core2duo6600
#5369
üzenetére
"Csont nélkül viszi a gigabitet, ...." Ezt most melyikre írtad, a 3011-re vagy az AHx4-re?
-
#5369
Core2duo6600
veterán
ekkold
#5367
Core2duo6600
veterán
Csont nélkül viszi a gigabitet, speedtestnél 28 % nál nem láttam még nagyobb cpu terhelést.
Én 2 vonalat kezelek vele, 2 alhálót, egyik a digit a másik a telekomosat használja.Egy miki 750 GR3 -ast váltott amit az 500 as nethez vettem, mert eredetileg olyat rendeltem.
Az az 500ast épphogy elvitte,de amikor emelt a Digi 1000 re elvérzett.Az vitt rá végülis arre az 1100 AHx4 esre, hogy Synology Routert ajánlottak, az is került volna ennyibe, de a miki egyszerűen többet tud, pl.: a Syno nem tudta volna a 2 net et kihasználni, nem ismeri a policy routingot, és még sorolhatnám, biztosan az is nagyon jó, de korlátosabb mint ez.
Mondom ezt úgy, hogy közel nem használom ki a RouterOS teljes tudását.
Aztán néztem még az Edgeroutert is, de ami biztosan elvitte volna ezt a vonalat nem volt csak ventilátoros megoldásban, ami egy hálószobában nem jó, de még egy nappaliban sem.
Így jutottam el az 1100 AHx4 es miki hez, ami akkor lényegében az egyetlen egy olyan eszköz volt, amelyik csendesen tudja a gigabitet HW nat nélkül.
Utobbi azért volt fontos, mert azt olvastam, hogy HW nat esetében nem igazán van tűzfal funkció, ezért gyorsabb, hogy ez igaz-e vagy sem, nem tudom, de ezt olvastam.És hát az általad említett posztokhoz én is eljutottam, és nem akartam kockáztatni, ez is benne volt a dologban.
-
#5368
Shkiz0
nagyúr
Core2duo6600
#5366
válasz
Core2duo6600
#5366
üzenetére
Szerintem is igazad van.
Én is így akartam most a T-s netet, és kell mindenképp a Sagemcom eszköz. -
#5367
ekkold
Topikgazda
Core2duo6600
#5362
ekkold
Topikgazda
válasz
Core2duo6600
#5362
üzenetére
És igaz amit írnak róla más fórumokban, ill. amit ide beírtam?
-
#5366
Core2duo6600
veterán
bambano
#5364
Core2duo6600
veterán
válasz
bambano
#5364
üzenetére
Jahh, hogy te az optikát akarod közvetlen a mikibe belevezetni ?
Az nem biztos, hogy menni fog.
Mivel a modemet beregisztrálták a központba, és csak utána éledt fel rajta a net.
A szerelők a bekötést követően az ÜF számot felhivva egy halom kódot adtak meg, és csak ezután gyuldt ki a zöld lámpa a modemen. -
#5365
ekkold
Topikgazda
Cirbolya_sen
#5354
ekkold
Topikgazda
válasz
Cirbolya_sen
#5354
üzenetére
Ez csak egy rövidített verzió, de így már használható. Amit kivettem az a hálózatom sajátosságai miatt volt benne, de itt nincs jelentősége.
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related dst-address=192.168.9.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.9.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input comment=\
"6h - blacklist kiv\E9ve lan TCP" dst-port=20-1023,8000,8080,8192 protocol=tcp src-address= !192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input comment=\
"6h - blacklist kiv\E9ve lan UDP" dst-port=20-122,124-1023,8000,8080,8192 protocol=udp src-address=!192.168.0.0/16
add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="LAN / vend\E9g v\E9delem" dst-address=192.168.9.2-192.168.9.255 src-address=192.168.10.0/24
/ip firewall mangle
add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-digi \
passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1440 comment="PPPOE csomagmeret konvert" -
ekkold
Topikgazda
válasz
bambano
#5357
üzenetére
A 3011-ről azt olvastam, hogy fasttrack-al elviszi a gigás internetet, de anélkül határeset... Nem csak az AHx4-nél sokkal gyengébb, de az AHx2-nél is. De ez nem saját tapasztalat. A 9 magos meg kicsit ágyúval verébre lövés kategória - de ha ez van, akkor ez van
Legszívesebben AHx4-et használnék én is, de az nekem kicsit drága. -
#5359
bambano
titán
Core2duo6600
#5358
bambano
titán
válasz
Core2duo6600
#5358
üzenetére
esetleg el lehetne gondolkodni azon, hogy a "most egy 3011 meg egy ccr van kéznél" feltételek közé szorított kérdésre mennyiben jó válasz az ahx4.
-
#5358
Core2duo6600
veterán
bambano
#5357
Core2duo6600
veterán
válasz
bambano
#5357
üzenetére
Én a RB1100AHx4 -t használom.
Könnyedén viszi, fastrack nélkül.
Megspékelve még egy második vonal, és 2 alhálózat kezelésével is.
A szolgáltató eszköze bridge módban van.
Hogy a 3011 elég-e passz.
De egy próbát megérhet.
Ahogy látom, a 3011 es nek 2 magos cpu ja van a 1100 AHx4 esnek, meg 4 , frekvencia megegyezik. -
bambano
titán
Elkapott engem is a digis átépítés...
csinált már valaki olyan végpontot, ami működik a digi ftth-n?
most két router van kéznél, egy 3011 meg egy 9 magos ccr. ha a 3011 elég a gigás digi nethez, azt használnám, ha nem, akkor a ccr-t. szerintetek melyiket?mikor lesz a 4011-ből bótban termék?
-
cszolee79
tag
Én csak a gbites net miatt cseréltem le az RB951G-t. Ennek (hap ac2) az n-es wifije jelentősen gyengébb. Az ac-s wifije meg az első szériás hap ac-nél gyengébb (2x2 vs 3x3).
Ha kanócon van bekötve a géped akkor persze érdemes cserélni, pláne ha 500mbites vagy gyorsabb neted van. -
ekkold
Topikgazda
válasz
cszolee79
#5352
üzenetére
Más fórumban olvastam róla, nekem is 256Mb-os van, de sokaknak 128Mb-os. Egyébként közel se használ még 128Mb-ot sem. Jelen pillanatban éppen 35Mb körüli RAM van használatban. Amúgy a 256Mb-ból az enyém csak 233Mb-ot lát, feltételezem, hogy ezért specifikálták inkább 128Mb-osnak. Ha 128Mb helyett 233Mb van, azért senki sem fog reklamálni, de ha 256Mb-osnak specifikálják és abból látna csak 233Mb-ot, azért már sokan háborognának!
-
#5351
Cirbolya_sen
aktív tag
Cirbolya_sen
aktív tag
Alapbeállításokkal leteszteltem az RB450Gx4-et DIGI 1000Mb-en,
2 GB letöltés:
[admin@MikroTik] > system resource monitor
cpu-used: 0%
cpu-used-per-cpu: 0%,1%,1%,0%
free-memory: 986776KiBspeedtest is futtatva mellé:
[admin@MikroTik] > system resource monitor
cpu-used: 10%
cpu-used-per-cpu: 17%,10%,7%,9%
free-memory: 986652KiBA többit majd folyamatában.
-
ekkold
Topikgazda
Beraktam portscan-re is tűzfal szabályt (pár hsz.-el előbb idéztem is), amellett, hogy a portok átrakását is javasoltam.
/ip firewall filter
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
Ez el is kap néha egy-egy IP-t.
Az alábbiakat is próbáltam, de gyakorlatilag egyik sem vett fel a listára senkit pár hét alatt:add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urgTudsz jobbat?
Avagy berakhatnád, hogy akkor te milyen szabályokat használsz jelenleg ill. milyen szabályokat javasolsz! -
#5348
Core2duo6600
veterán
Tele von Zsinór
#5346
Core2duo6600
veterán
válasz
Tele von Zsinór
#5346
üzenetére
Köszi, majd tesztelni fogom.
-
KTTech
veterán
Ennél sokkal jobb megoldás is van. A portok átrakása kb. annyit ér, mint halottnak a szenteltvíz, aki rendesen keres, meg fogja találni a szolgáltatás portját. Viszont van olyan tűzfal szabály a Mikrotikre, ami tényleg figyeli a portscan-t, és azt már lehet tiltani is.
Nálam így néz ki egy elhárított portscan, és látható, hogy a legtöbb port, amit próbál az 1023 feletti, de persze benne vannak a népszerű portok is, 1023 alatt (igaz, mire oda jutott volna, már ki volt tiltva):
Jelenleg 2 IP tölti a 14 napos kitiltását. Mondjuk az egyik szolgáltatóm (Virgin Media) arra is harap, ha nyitva van valamelyik szervizport - szükségem volt a Cacti miatt az SNMP-re (read-only módban), és már jött a figyelmeztető levél, hogy nyitva van a portom.
Az 53-as portot (TCP és UDP) meg alapból célszerű tiltani WAN felől, arra nem is kell több energiát fordítani.
A 80-as portot egyébként sok program használja akkor is, ha nincs mögötte webszerver, így aki ott akar bemenni nem feltétlenül akar támadni (de ez sok más portra is igaz).
-
Tele von Zsinór
őstag
válasz
Core2duo6600
#5339
üzenetére
Internet felé akkor fog (jól) működni a v6-od, ha a klienseknek is van v6-os címe. Pont a hétvégén raktam össze itthonra egy béta v6-ot.
Kezdetnek (az ipv6 csomag engedélyezése és reboot után) csináltam egy v6-os dhcp klienst a szolgáltató felé menő pppoe interface-re, ahol kérek addresst és prefixet. Az ipv6 / ND alatt meg csináltam egyet a belső bridge-re, alul bepipálva mindent. Emlékeim szerint ennyi elég volt, kaptak a gépek belül is v6-ot és gyönyörűen kilátnak rajta.
Ami még kellhet:
- dhcp kliens tud rögtön a prefix alapján poolt csinálni, nekem a router fel is vesz ebből egy ipt
- tűzfal, ahol a kívülről jövő dolgokat az input és a filter chainben megfogod, de ezzel én pórul is jártam, a szolgáltató dhcp válaszát be kell engedni, különben legközelebb nem lesz v6 címBevallottan nem sokat értek a v6-hoz, de amennyire emlékszem ennyi elég volt, hogy menjen
-
ekkold
Topikgazda
-
bacus
őstag
"Ahol meg pénzért http szolgáltatás van az már messze nem egy sima iroda, egy soho kategóriás routerrel, ilyesmit nem kellene belekeverni abba amiről eredetileg szó volt..."
Nem is tudom a saját irodám ilyen, ahol ráadásnak alig tartózkodunk. Egy időben a lakásomon is volt ilyen szerver, fizettek is érte. Mégis milyen router kellene otthonra, ha nem egy ilyen soho miki? Sőt amikor a lakásomon ment pár webszerver, még csak nem is volt ekkora sávszélességem mint manapság, csak fix ip kellett. (igaz másnak még akkora sávszélessége sem volt)
Az ilyen adatgyűjtő eszközök a telefon megosztott netjével teljesen jól elvannak, de van saját sim kártyás mobilnetes is. De igaz, lehet 20x költséggel a terepre kivinni akár miki routereket is, úgysincs sok cucca egy földmérőnek. A költség mondjuk egy 23milliós műszerhez elhanyagolható.
-
ekkold
Topikgazda
"Gondolom el se tudod képzelni, hogy van egy csomó adat gyűjtő (pl sok milliós geodéziai) műszer amibe egyszerűen nem tudod beírni az eltérő port számot, nem tud vpn-t se, sőt, még dns nevet se lehet beírni, csak ip címet, ahova sima egyszerű plain text-es hitelesítéssel okádja bele az általa készített fájlokat."
Vannak ilyen eszközök, de ilyeneket nem dugunk rá közvetlenül a netre (mert esetleg valaki csak úgy viccből széthekkeli), általában egy router/tűzfal mögött tanyáznak - ott ezeknek az eszközöknek lenne a dolga a biztonságos csatlakozás megoldása.
Ahol meg pénzért http szolgáltatás van az már messze nem egy sima iroda, egy soho kategóriás routerrel, ilyesmit nem kellene belekeverni abba amiről eredetileg szó volt...
-
bacus
őstag
Ne már, nekem az nem jól működés, hogy vagy állandóan be vagyok csatlakozva az irodámba, mert 15 percenként megnézi a telefon, hogy jött e levél. Az sem opció, hogy 15 percenként én csatlakozzak fel és bontsam le utána, az meg pláne nem, hogy offline legyek és amikor eszembe jut, akkor majd jól megnézem jött e levelem. Akkor már inkább forwardolnék minden levelet egy gmail-be és úgy leveleznék, de ennek is vannak hátrányai.
Ha üzemeltetsz http szervert, és nem csak belső használatra, hanem mondjuk bárkinek, mondjuk netán még másnak is pénzért (azaz ez egy fizető szolgáltatást adsz), akkor tudod, hogy a port átrakás nem jó. Szimpla Béla nem érti, hogy miért jön be neki az index.hu és miért nem a tehonlapod.hu, vagy mi a jó fenéért kell neki még kettőspontot és számot írni a végére. Főleg nem, hogy miért kellene neki a
www.tehonlapod.hu:8085/hu/nabaratom_ezt%20%gepeld_be_elsore%20%hatudod.html
címet így egy az egyben megosztania Szimpláné Tudatlan Etelkával, mert ha csak megmondja, hogy a tehonlapodon olvastam, akkor az asszony nem ad vacsorát., az ügyfeled meg jól nem fizet egy szar szolgáltatásért."Fokozott biztonsággal tenném", na itt el is értük a lényeget, pl a www szerverek virtualizálva futnak egy másik alhálózatban, nos ez szerintem biztonságosabb tud lenni, mint egy átrakott port egy IIS szerveren, de még talán akkor is, ha egy sima pptp vpn tűzfal is van előtte .
Az ftp szerver is szintén mehet így és van sok hely, ahol szinte csak a szabványos porton mehet. Gondolom el se tudod képzelni, hogy van egy csomó adat gyűjtő (pl sok milliós geodéziai) műszer amibe egyszerűen nem tudod beírni az eltérő port számot, nem tud vpn-t se, sőt, még dns nevet se lehet beírni, csak ip címet, ahova sima egyszerű plain text-es hitelesítéssel okádja bele az általa készített fájlokat.
Én részemről nem mondom tovább, mindenki csinálja ahogy akarja, amit mondasz működik, használható, de meg vagyok győződve róla, hogy rossz megoldás, sőt hamis biztonság érzetet is ad.
-
ekkold
Topikgazda
Nekem eddig mindig jól működött a VPN mobiltelefonról is, nem tudom neked miért okoz problémát. Az ftp szerintem nem gond ha más porton megy. Ha levelező szervert akarnék a net felé kinyitni, akkor azt eleve fokozott biztonsággal tenném csak meg, de inkább csak VPN-en keresztül engedném. Szóval mi a fontosabb,a kényelem vagy a biztonság? Az eredmény mindenképpen kompromisszum.
Jónéhány ismerősöm szokott távolról dolgozni. Különböző cégekről van szó, de egy dologban mindegyik egyezik: kizárólag VPN-en keresztül engedik be távolról a céges hálózatba. Semmilyen szolgáltatás (az általad felsoroltak egyike sem) érhető el enélkül, nincsenek kifelé nyitott portok a VPN-t kivéve. Gondolom ez nem véletlen.
Szerintem a hasonlatod erősen túloz, és nem állja meg a helyét.
-
bacus
őstag
Köszi az oktatást.
A levelező szerver portjait ugyan át lehet rakni, csak nem érdemes. (nem smart host esetén).
A vpn mobiltelefonokról pedig kényelmetlen, ha használod, akkor te is tudod. Ez a port átrakás kb olyan, mint ha az autó balesetet úgy szeretnéd elkerülni, hogy nem mész közúton, (ahol más is jár). Megoldásnak megoldás, de nem jó megoldás általában.
-
#5339
Core2duo6600
veterán
Core2duo6600
veterán
Hogy tudom beállítani, azt, hogy müködjön a ipv 6 az internet felé, de a lan on, ipv 4 legyen ?
-
#5334
Shkiz0
nagyúr
Cirbolya_sen
#5333
válasz
Cirbolya_sen
#5333
üzenetére
Googleba irva megtalalhato meg par helyen.
-
#5330
nyilasmisi
tag
nyilasmisi
tag
Mikrotik biztonsági figyelmeztetés:
Hello,
It has come to our attention that a rogue botnet is currently using a vulnerability in the RouterOS Winbox service, that was patched in RouterOS v6.42.1 in April 23, 2018.
Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so already.
Steps to be taken:
- Upgrade RouterOS to the latest release
- Change your password after upgrading
- Restore your configuration and inspect it for unknown settings
- Implement a good firewall according to the article here:https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
All versions from 6.29 (release date: 2015/28/05) to 6.42 (release date 2018/04/20) are vulnerable. Is your device affected? If you have open Winbox access to untrusted networks and are running one of the affected versions: yes, you could be affected. Follow advice above. If Winbox is not available to internet, you might be safe, but upgrade still recommended.
More information about the issue can be found here: https://blog.mikrotik.com
Best regards,
MikroTik--
In order to maintain and improve our business relations, supply goods and services, realizing our legitimate interest (like commercial benefits) to process personal data without consent provided that it is not overweighed by negative effects on your rights and freedoms, MikroTik has so far sent you information related to our activity, and we hope that you will continue to be interested in receiving such kind of informative messages. We send them to inform our customers and partners about MikroTik news, changes and improvements in MikroTik products and software that might be relevant to you to comply with essential requirements of product sales and usage, information about MikroTik training seminars and MUM events, as well as other information.
To unsubscribe from this list please follow the link:
https://mikrotik.com/unsubscribe/NL478/bnlpbGFzZUBnbWFpbC5jb20= -
#5329
Shkiz0
nagyúr
Kiratheonly
#5328
válasz
Kiratheonly
#5328
üzenetére
Elviekben kicsivel az RB1100AHx4 alatt lesz.
-
ekkold
Topikgazda
Nekem a telefonomon is van FTP szerver, így wifin keresztül is el tudom érni a rajta levő fájlokat. De az sem a 21-es porton megy , hanem történetesen a 4021-es proton. A router esetében is hasonló lehetne helyzet. Pl. ftp://domain:62341 az FTP elérés, aki meg a 21-es porton akar bejönni az ugyanúgy mehet a feketelistára....
Ezzel csak arra akartam rávilágítani, hogy szerintem akár egy "rendes irodában" is működhetne így a dolog. Az ilyen szűrésnek van még egy előnye, mégpedig: a hacker aki felkerül a feketelistára, onnantól kezvde a többi portot sem éri el - azaz minden más addig nyitott port az ő számára már zárva van.
-
-
ekkold
Topikgazda
Egyrészt - ha jobban megnézed - csak a WAN oldalról tiltom ezeket a portokat, a LAN IP tartományából nem. Továbbá az ftp, http, mail szerver, SSH - ha szükség van rá - tetszés szerinti portra átrakható, és ott továbbra is használható. Amúgy meg a távoli használathoz csatlakozzon be a user VPN-el, utána mindent elér, mert gyakorlatilag bekerül a helyi hálózatba - akkor is ha amúgy a WAN oldal felől minden egyéb tiltva van.
-
ekkold
Topikgazda
Így igaz, több a RAM és a tárhely is, viszont van wifi. Amúgy voltak kósza hírek a neten hogy valami oknál fogva néhány hAPac2-be több RAM került a specifikált 128Mb-nál. amikor megérkezett, gyorsan meg is néztem, és sikerült beletrafálni, 233Mb elérhető RAM-ot lát a board.
Amúgy érdekes a beszúrt táblázatodban, hogy elvileg az IPQ4019 is tudna kezelni kétsávos wifit, amit az RB450Gx4 végülis nem használ ki. -
-
#5316
ekkold
Topikgazda
Core2duo6600
#5315
ekkold
Topikgazda
válasz
Core2duo6600
#5315
üzenetére
Az alapján, hogy a legtöbbet a DNS-t (53-as port), FTP, SSH, Telnet, WWW portokat támadják, ezeket eleve nem érdemes defaulton hagyni. Viszont ha eredeti portokat én nem használom, akkor aki ezen akar bejönni az eleve rossz szándékú, tehát mehet a feketelistára.
Tehát:
port scannelők:/ip firewall filter
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
tiltott portok (kivéve LAN-ról):/ip firewall filter
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input comment="blacklist kiv\E9ve lan TCP" dst-port=\
20-1023,8000,8080,8192 protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input comment="2blacklist kiv\E9ve lan UDP" dst-port=\
20-122,124-1023,8000,8080,8192 protocol=udp src-address=!192.168.0.0/16
fekete listán levők drop-olása:/ip firewall filter
add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist
Persze vannak további szabályok is felvéve, hogy pl. VPN-en be tudjak jönni, meg vannak kifordított portok is PC-k felől, de kb. ennyi a lényeg ebből.Az UDP 123-as portot ki kelett vennem mert különben nem működött az időszerver lekérdezése, amihez egyébként ennyi kell csak:
/system ntp client
set enabled=yes primary-ntp=148.6.0.1 secondary-ntp=52.178.161.41
/system clock
set time-zone-autodetect=no time-zone-name=Europe/BudapestAmúgy korábban voltak ingyen megnézhető "mikrotik tanfolyam" videók a neten, amiből megnéztem párat, ebből merítettem ötletet, de már kb. 8 éve megismerkedtem a mikrotik cuccokkal, így ragadt rám valamennyi abból, hogy miket tudnak ezek a cuccok. Jelenleg ott tartok, hogy egyszerűbb scripteket is meg tudok csinálni, pl. megoldottam, hogy ha valaki felcsatlakozik a VPN-re akkor küld róla egy mailt a router
aztán "játékból" a wifire is megcsináltam ugyanezt.Pl. ilyen emaileket kapok a régi RB951-es AP-tól:
RB951 - Wifi Aktív kapcsolatok 3 db:
aug/05/2018 15:30:00
1 IF: wlan-mana IP: 192.168.10.4 MAC: 04:D6:AA:05:78:7A Rate: 117Mbps-20MHz/2S Signal: -68dBm@1Mbps UpTime: 02:44:26
2 IF: wlan-mana IP: 192.168.10.16 MAC: 00:E0:4C:1D:08:FE Rate: 120Mbps-40MHz/2S/SGI Signal: -72dBm@HT40-0 UpTime: 02:39:31
3 IF: wlan-mana IP: 192.168.10.9 MAC: C8:21:58:7B:3F:4F Rate: 270Mbps-40MHz/2S/SGI Signal: -72dBm@HT40-2 UpTime: 00:01:40 -
KTTech
veterán
válasz
janos666
#5283
üzenetére
Erre tökéletes megoldás a kimenő oldali priorizálás... Pl. ha a torrenthez kapcsolódó ACK csomagok késleltetve mennek ki, de előre van sorolva a VOIP, akkor nem lesz szakadozás, sebesség beesés a bejövő oldalon. Én így használom már jó rég a mikrotiket, és hiába töltök max. közeli sávszélességgel le torrentet, ha net vagy egyéb forgalom van, azonnal visszaesik a torrent sebessége, és a többi szolgáltatás a neki kellő be és kimenő sávszélességet fogja kapni (amíg teljesen el nem fogy a feltöltési irány, természetesen). Mondjuk, most, hogy megszűnt a P2P match a mangle-ban, így kicsit brute-force-al működik, mert most minden forgalom, amit nem osztottam be, automatikusan hátra kerül (kerülőutat még nem csináltam).
-
ekkold
Topikgazda
válasz
#31774976
#5252
üzenetére
Nekem néhány óra alatt kb. 200db IP cím kerül fel a tűzfalban feketelistára. Olyan beállítást csináltam, hogy kb. bárki aki az 1024-alatti portokon akar bejönni (LAN és NTP kivételével) feketelistára kerül néhány órára. A szolgáltatásokat átraktam 1024 fölé... aki feketelistán van annak minden input, és minden forward csomagja drop-olva van. Eddig hatékonynak tűnik.
-
#5310
ekkold
Topikgazda
Kiratheonly
#5307
ekkold
Topikgazda
válasz
Kiratheonly
#5307
üzenetére
Nincsenek 5Gz-es eszközeim, de majd megkérek valakit a családban hogy mérjen egyet. Valószínűleg a wifivel elérhető sávszél nem jobb mint a hAPac-nek, mindenki az újabb RouterOS verziót (6.43) várja, azzal várhatóan jobb lesz (jobb driver kell az alkalmazott wifi chip-hez). 2.4GHz-en 20MHz-es sávszél mellett, mobiltelefonon mérve, max. 40...50Mbps-t tudok elérni vele, 40MHz-es sávszéllel még nem tudtam tesztelni.
Mondjuk a wifi sebessége nekem kevésbé számít, illetve amennyi van, az egyelőre elegendő, a PC(k) meg vezetékkel vannak bekötve. -
ekkold
Topikgazda
Igen, a pppoe kapcsolódást is ez a router intézi. Izomból 60% körüli a proc terhelés, de a fasttrack-al 10% alatti mikozben a speedtest.net-el mérek. (A fasttrack-ot egyébként szűkítettem a fő hálózatom IP tartományára, tehát a vendéghálón nincs, mert azon sávszél korlát van)
Előtte egy Tplink wdr3600 routert használtam, azzal 860Mbps volt a max amit el lehetett érni, az is szép lassan kúszott fel mérés közben, úgy hogy 200Mbps-ről indult és szép lassan növekedett az érték a mérés végéig.
Ezzel a routerrel az első pillanatban is 700Mbps körülivel indul, és ez növekszik folyamatosan valamivel 900Mbps fölé. Jelen pillanatban ENNYIT mérek, éjszaka jobb szokott lenni valamivel. -
Soma01
veterán
-
ekkold
Topikgazda
Szia!
Megérkezett a 450Gx4? Én is nézegettem, de találtam nekem megfelelő olcsóbb megoldást.
Vettem egy hAPac^2-t (RBD52G-5HacD2HnD-TC) 19190Ft-volt áfával, ebben is négymagos proci van, és kétsávos wifi. Digis 1000/200-es nettel 960Mbps-volt a legnagyobb mért letöltési sebességem. Fasttrack/fastpath -al 10% alatti proci terheléssel, ugyanez enélkül 60% körüli proci terheléssel. PPTP VPN szerverként sem utolsó kb 150MBps -re képes (nyilván nem egy AHx4, de az átlaghoz képest jó, és ugye kissé olcsóbb) -
#5302
Soma01
veterán
Core2duo6600
#5301
Soma01
veterán
válasz
Core2duo6600
#5301
üzenetére
Egy linket dobj már be ide légyszíves. Vagy írd meg, hogy mire keressek rá.
-
#5301
Core2duo6600
veterán
macimeister
#5272
Core2duo6600
veterán
válasz
macimeister
#5272
üzenetére
Nálam pont így van beállítva
(#5261) bambano
Az RB1100Ahx4 vígan viszi a gigas netet, ilyet használok.(#5271) Soma01
Erre is van megoldás, vannak fent a youtubon videók, ahol ilyeneket állítanak be, akár webcimenkénti terelgetéssel.
Vagy szolgáltatásonként.(#5273) Shkiz0
Na ez dúrva volt itt .
/azért keresek egy másik tápot is, hátha/
/
végülis nem gond, ha 1-2 hónapra berakom a ccr-t, majd amikor megjön a 4011, akkor csere.
Új hozzászólás Aktív témák
Hirdetés
- sziku69: Fűzzük össze a szavakat :)
- ThinkPad (NEM IdeaPad)
- Samsung Galaxy S22 Ultra - na, kinél van toll?
- Autós topik
- Luck Dragon: Asszociációs játék. :)
- Elkészült és telepíthető az Android 16
- Milyen notebookot vegyek?
- E-roller topik
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Házimozi belépő szinten
- További aktív témák...
- ÚJ Apple Macbook Air 15,3 M4 10C CPU/10C GPU/16GB/256GB - Ezüst -(2025)- 3 Ciklus-3 év gari - MAGYAR
- Frederick Forsythe: Isten ökle (nem olvasott)
- Telefon felvásárlás!! iPhone 13 Mini/iPhone 13/iPhone 13 Pro/iPhone 13 Pro Max
- ÁRGARANCIA!Épített KomPhone Ryzen 5 7600X 32/64GB RAM RTX 5060 Ti 16GB GAMER PC termékbeszámítással
- Beszámítás! Sony PlayStation 5 825GB SSD digital konzol garanciával, hibátlan működéssel
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest